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Sicherheit und Konformität von loT-Geräten für mehr digitale Souveränität und als 
Baustein eines europäischen Level Playing Fields 


Vorbemerkung der Fragesteller 

Neben künstlicher Intelligenz (KI) und Distributed Ledger Technologien (DLT) 
ist das Internet of Things (IoT) der dritte digitaltechnologische Treiber, dessen 
Entwicklung und politische Gestaltung enorme Bedeutung für zukünftige 
Dienste und Produkte der Digitalwirtschaft und für digitalisierte Produktions¬ 
prozesse (Industrie 4.0) vorhergesagt wird (vgl. https://m2m.telefonica.de/wp- 
content/uploads/2018/01/IoT_Studie_Deutschland_2018.pdf). KI adressiert da¬ 
bei aus wirtschaftlicher Sicht oft Themen wie Effizienz und Innovationen, DLT 
die für die Wirtschaft so relevante Frage „Trust“. Die für die Zukunft digitalen 
Wirtschaftens zentrale Frage nach Sicherheit, Zuverlässigkeit, Konformität und 
Resilienz vernetzter IT-Geräte, von Kühlschränken, Autoradios und Wearables 
bis zu den ständig zunehmenden und neuen Datengebem im Bereich Automo¬ 
tive bzw. Mobility, Industrie, Medizin bzw. Pflege und öffentliche Hand, teils 
mit umfangreicher Sensorik zur Datenerhebung ausgestattet, wird dagegen aus 
Sicht der Fragesteller viel zu wenig thematisiert. Dabei werden die Antworten 
auf diese Fragen angesichts der exponentiell wachsenden Anzahl an vernetzten 
Geräten zunehmend dringlich. 

Weit über 50 Millionen Internetrouter in Finnen, Haushalten und im öffentli¬ 
chen Raum allein in Deutschland und erwartet 50 Milliarden vernetzter Geräte 
aller Art bis 2022 weltweit, die untereinander und mit dem Internet verbunden 
sind, führen zu einer enonnen Komplexitätssteigerung unserer IT-Infrastruktur 
(IT = Infonnationstechnik) (vgl. www.it-zoom.de/mobile-business/e/50-milliarden- 
vemetzte-geraete-im-jahr-2022-19966/). Zunehmend sind auch Bereiche mit 
Gefahr für Leib und Leben, und enormen wirtschaftlichen und sonstigen gesell¬ 
schaftlichen Risiken betroffen, etwa durch IoT-Geräte in Fahrzeugen, bei indus¬ 
triellen Produktionsabläufen oder im medizinischen Bereich. Da diese Geräte 
zudem zunehmend autonom agieren, ist es aus Sicht der Fragesteller von ent¬ 
scheidender Bedeutung, ob diese Systeme und die Übertragungswege zu jeder 
Zeit über ein hohes Maß an Sicherheit, Zuverlässigkeit, Konformität und Resi¬ 
lienz verfügen. Dabei gilt: Alles, was einen Zugang zum Internet hat oder ande¬ 
ren verschafft, erhöht die Vulnerabilität gegenüber IT-Angriffen, Sabotage, In- 
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dustriespionage, Kriminalität und Manipulationen aller Art. Neben der IT-Si- 
cherheit sind auch Datenschutz und Verbraucherschutz von zentraler Bedeu¬ 
tung, wenn IoT-Geräte zunehmend Einzug in den Alltag der Verbraucher und 
Verbraucherinnen halten. 

Die politische und rechtliche Ausgestaltung des Umfeldes und der Einsatzbe¬ 
dingungen automatisierter Gerät-zu-Gerät-Kommunikation (M2M) zwischen 
intemetfähigen Geräten hat somit eine enorme Bedeutung für mehr digitale Sou¬ 
veränität und den Europäischen Wirtschaftsraum (vgl. A. Weber, S. Reith et al. 
„Souveränität und die IT-Wertschöpfüngskette“ in: Datenschutz und Datensi¬ 
cherheit, 05/2018, S. 291 bis 293). 

Die Gerätehersteller haben aber bislang kaum ökonomische Anreize oder regu¬ 
latorische Vorgaben, die IT-Sicherheit gleich bei der Produktentwicklung und 
über den ganzen Produktlebenszyklus hinweg maßgeblich zu berücksichtigen. 
Und so werden täglich mehr Alltagsgeräte und industriell oder im öffentlichen 
Raum genutzte Datengeber zum Einsatz im Netz gebracht, die oft einfach ge¬ 
hackt werden können, um gezielt Informationen und Daten abzugreifen, Sys¬ 
teme zu manipulieren oder auch in globalen Botnetzen zusammengeschaltet, um 
gezielt Unternehmen oder gesellschaftlich relevante oder gar kritische Infra¬ 
strukturen anzugreifen. 

Eine BITKOM-Studie (BITKOM = Bundesverband Informationswirtschaft, Te¬ 
lekommunikation und neue Medien) schätzt den wirtschaftlichen Schaden, 
der allein deutschen Unternehmen durch Datenspionage und digitale Sabo¬ 
tage entsteht, auf derzeit ca. 55 Mrd. Euro im Jahr (www.bitkom.org/Presse/ 
Presseinformation/Spionage-Sabotage-Datendiebstahl-Deutscher-Wirtschaft- 
entsteht-j aehrlich-ein-Schaden-von-5 5 -Milliarden-Euro. html). 

Die Europäische Union hat das Grundproblem zwar erkannt, das nun vorlie¬ 
gende Trilog-Ergebnis zum Cybersecurity Act (CSA) (https://ec.europa.eu/ 
commission/news/cybersecurity-act-2018-dec-ll de) ist nach Ansicht der Fra¬ 
gesteller aber kaum hinreichend. Dem Internet of Things einen grundlegenden 
regulatorischen Rahmen zu setzen, erfordert ein Zusammenspiel von Standardi¬ 
sierungsbemühungen, Konformitätsbewertungsstrukturen und Marktaufsicht. 
Trotz der Notwendigkeit klarer regulatorischer Vorgaben hat man sich im Trilog 
aber nur auf eine rein freiwillige Zertifizierungsteilnahme geeinigt, zudem mit 
der Option, dass Finnen ihre Produkte in Eigenregie zertifizieren können, was 
nicht ausreicht, um den skizzierten Problemlagen gerecht zu werden, den 
Grundrechtsschutz der Verbraucher sicherzustellen und einen klaren regulatori¬ 
schen Rahmen vorzugeben sowie die Rechtssicherheit zu erhöhen. 


1. Sieht die Bundesregierung die Notwendigkeit, dass in Analogie zur Gesetz¬ 
gebung durch die Datenschutz-Grundverordnung (DSVGO) auch in weite¬ 
ren digitalpolitischen Bereichen, etwa in Bezug auf die Regulierung von in¬ 
temetfähigen Geräten, ein klarer rechtlicher Rahmen für alle Marktteilneh¬ 
mer auf EU-Ebene gesetzt werden sollte, um so durch gleiche und klare Re¬ 
geln das Funktionieren des Marktes zu ermöglichen? 

2. Inwieweit glaubt die Bundesregierung, dass Sicherheit, Zuverlässigkeit, 
Konformität und Resilienz von IoT-Geräten Bestandteil einer solchen Regu¬ 
lierung sein müssten, oder gar Voraussetzung sind, damit die erwarteten öko¬ 
nomischen Potentiale insbesondere für die deutsche und europäische Wirt¬ 
schaft im Bereich Entwicklung, Handel und Einsatz von IoT-Geräten geho¬ 
ben werden können? 

Aufgrund des Sachzusammenhangs werden die Fragen 1 und 2 zusammen beant¬ 
wortet. 
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Die zunächst freiwillige Zertifizierungsteilnahme ist aus Sicht der Bundesregie¬ 
rung ein richtiger und wesentlicher Schritt hin zur Schaffung von mehr Bewusst¬ 
sein und Transparenz für den Anwender im Hinblick auf die IT-Sicherheit von 
Produkten, Dienstleistungen und Prozessen. Zudem zielt dieser Ansatz darauf ab, 
dass die Marktteilnehmer Cybersicherheit weniger als Kostenfaktor begreifen, 
sondern vielmehr als Faktor mit zusätzlichem ökonomischen Wertschöpfungspo¬ 
tential. Die Bundesregierung nimmt im Übrigen zu Mutmaßungen im Hinblick 
auf die Faktoren für den Markterfolg eines Gütesiegels keine Stellung. 

Gleichwohl sieht der (Cybersecurity Act) CSA als horizontaler Rahmen aus¬ 
drücklich vor, dass die Cybersicherheits-Zertifizierung von Produkten, Dienst¬ 
leistungen und Prozessen anhand etablierter Zertifizierungsschemata im vertika¬ 
len Bereich (z. B. Energie, Autonomes Fahren) durch spezialgesetzliche Rege¬ 
lung im Unionsrecht oder im mitgliedstaatlichen Recht verpflichtend vorge¬ 
schrieben werden kann. Dies wird insbesondere dann in Betracht kommen, wenn 
spezifische Sicherheitsanforderungen zum Schutz für Rechtsgüter wie Leib und 
Leben bestehen. 

Zudem wird sich die Bundesregierung weiterhin dafür einsetzen, auf Basis des 
CSA verpflichtende Mindestsicherheitsstandards für IoT-Geräte zu etablieren, 
wie bereits im Beschluss des Bundestags vom März 2016 gefordert (Bundestags¬ 
drucksache 18/11808, S. 8). 

Nach Einschätzung der Bundesregierung ist es hierfür zielführend, Anforderun¬ 
gen, die zukünftig nach dem CSA in einem spezifischen Zertifizierungsschema 
für IoT-Geräte ausgearbeitet werden, durch einen Unionsrechtsakt als Mindest¬ 
anforderungen verpflichtend einzuführen. 


3. Welchen regulatorischen Ansatz hat die Bundesregierung im Rahmen der 
Aushandlungen zum CSA auf EU-Ebene in Bezug auf die Sicherheit, Zuver¬ 
lässigkeit, Konformität und Resilienz von IoT-Geräten vertreten? 

4. Welche regulatorischen Ansätze hat die Bundesregierung im Rahmen der 
Aushandlungen zum CSA auf EU-Ebene in Bezug auf die Sicherheit, Zuver¬ 
lässigkeit, Konformität und Resilienz von IoT-Geräten evaluiert oder be¬ 
trachtet? 

Aufgrund des Sachzusammenhangs werden die Fragen 3 und 4 zusammen beant¬ 
wortet. 

Bei den Verhandlungen zum so genannten CSA war es im Hinblick auf den Be¬ 
reich der Cybersicherheits-Zertifizierung Ziel der Bundesregierung, den zukünf¬ 
tigen horizontal wirkenden Regulierungsrahmen im Einklang mit dem bewährten 
New Legislative Framework nach der Richtlinie 765/2008/EU auszugestalten und 
gleichsam die über Jahrzehnte in Europa entwickelten Fähigkeiten und Instru¬ 
mente im Bereich der Hochsicherheitszertifizierung zu erhalten und auszubauen. 
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5. Wie bewertet die Bundesregierung die im EU-Trilog zum CSA nun vereinbarte 
Strategie einer One-Time-Pre-Market-Certification angesichts der heute ty¬ 
pischen Hersteller- bzw. Marktstrategie kontinuierlicher Softwareentwick¬ 
lung (teils tägliche Updates) und ständiger Hardwareerweiterungen? 

6. Ist die One-Time-Pre-Market-Certification-Strategie aus Sicht der Bundes¬ 
regierung ausreichend, um das Feld der automatisierten Gerät-zu-Gerät- 
Kommunikation zwischen intemetfähigen Geräten zu Gunsten größerer eu¬ 
ropäischer digitaler Eigenständigkeit und der Etablierung eines Level 
Playing Fields für Entwicklung, Handel und Einsatz von IoT-Geräten in der 
EU zu regulieren? 

Aufgrund des Sachzusammenhangs werden die Fragen 5 und 6 zusammen beant¬ 
wortet. 

Die Bundesregierung weist daraufhin, dass der Begriff „One-Time-Pre-Market- 
Certification“ im Rahmen der EU-Trilogverhandlungen zum CSA nicht verwen¬ 
det wurde. 

Im Bereich der Cybersicherheits-Zertifizierung verfolgt der CSA einen zweistu¬ 
figen Ansatz. Der CSA beinhaltet dabei lediglich Rahmenvorgaben, auf deren 
Grundlage konkrete Anforderungen an die Zertifizierung oder die Selbstbewer¬ 
tung von IKT-Produkten, IKT-Dienstleistungen oder IKT-Prozessen in den je¬ 
weiligen Zertifizierungsschemata bestimmt und durch Tertiärrechtsakt der EU- 
Kommission festgelegt werden. Es obliegt somit den spezifischen Schemata, für 
spezifische Produkte die entsprechenden Elemente für deren Bewertung wie z. B. 
die jeweiligen Anwendergruppen, die Updatefähigkeit oder Updatezyklen vorzu¬ 
geben. 

7. Inwieweit vertritt die Bundesregierung die Position, dass die im EU-Trilog 
zum CSA vereinbarte, rein freiwillige Zertifizierungsteilnahme, und somit 
die alleinige Hoffnung auf eine Marktregulierung durch die Werbewirksam¬ 
keit eines Gütesiegels hinreichend ist, um die Sicherheit, Zuverlässigkeit, 
Konfonnität und Resilienz von IoT-Geräten in Deutschland und der EU zu¬ 
mindest auf ein erforderliches Mindestniveau zu bringen? 

8. Inwieweit hält die Bundesregierung eine rein freiwillige Zertifizierungsteil¬ 
nahme, insbesondere beim Einsatz von IoT-Geräten mit Auswirkungen auf 
Leib und Leben (Fahrzeugbetrieb, Steuerung von Industrieanlagen etc.), für 
ausreichend? 

9. Für wie sinnvoll hält die Bundesregierung eine rein freiwillige Zertifizie¬ 
rungsteilnahme vor dem Hintergrund der Frage, ob nicht viel weniger die 
Werbewirksamkeit eines Gütesiegels als die Marktstellung und der Bekannt¬ 
heitsgrad eines Herstellers für den (weiteren) Markterfolg, und damit die 
Verbreitung von Geräten entscheidend sein dürfte, und so eine Wettbewerbs¬ 
verzerrung zu Ungunsten von kleinen bzw. unbekannten Herstellern und von 
Markteinsteigem droht? 

Die Fragen 7 bis 9 werden gemeinsam beantwortet. 

Es wird auf die Antwort zu den Fragen 1 und 2 verwiesen. 
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10. Wie bewertet die Bundesregierung die Gefahr, dass die Zertifizierung in Ei¬ 
genregie zum Einfallstor für ungerechtfertigte Zertifizierungen wird und so 
das Vertrauen in die Zertifizierung erodieren könnte? 

Die Bundesregierung weist daraufhin, dass der Begriff Zertifizierung die Bewer¬ 
tung durch eine unabhängige Prüfstelle voraussetzt. Daher wird auch im CSA 
durchweg zwischen Zertifizierung und Selbstbewertung unterschieden. 

Eine Selbstbewertung erfolgt nach den Vorgaben des CSA auf der Basis von 
vorab in den jeweiligen Schemata festgelegten technischen Standards und zuge¬ 
hörigen Prüfspezifikationen und -verfahren sowie zudem ausschließlich im Be¬ 
reich der Vertrauenswürdigkeitsstufe „niedrig“. Darüber hinaus erfolgt die 
Selbstbewertung unter Aufsicht einer benannten nationalen Stelle. Unter Berück¬ 
sichtigung dieser Rahmenbedingungen sind mögliche Risiken einer Selbstbewer¬ 
tung nach Ansicht der Bundesregierung beherrschbar. 


11. Hat die Bundesregierung im Rahmen der Aushandlungen zum CSA eigene 
Vorschläge unterbreitet, die über die nun verhandelte Zertifizierung in Ei¬ 
genregie hinausgehen? 

Wenn ja, welche konkret? 

Wenn nein, warum nicht? 

Die Bundesregierung hat die Implementierung des Instruments der Selbstbewer¬ 
tung unterstützt, da sich dieser Ansatz mit der Konzeption der Bundesregierung 
zur Einführung eines IT-Sicherheitskennzeichnens deckt und diesen stützt. 


12. Durch welche Maßnahmen und Strategien jenseits der nun im EU-Trilog 
zum CSA vereinbarten Maßnahmen will die Bundesregierung sicherstellen, 
dass im EU-Wirtschaftsraum keine intemetfähigen und automatisiert unter¬ 
einander kommunizierenden bzw. steuernden Geräte gehandelt und einge¬ 
setzt werden, die grundlegenden Sicherheitsstandards nicht entsprechen, und 
deren Hard- und Software-Komponenten für Verbraucher und Sicherheits¬ 
behörden eine „Black Box“ bleiben, und nicht überprüfbar sind? 

Es wird auf die Antwort zu den Fragen 1 und 2 verwiesen. 


13. Wie beurteilt die Bundesregierung hierzu das Vorgehen der US-DARPA, die 
Basiskomponenten in einem offenen Prozess zertifiziert, die dann global al¬ 
len Unternehmen und Enthusiasten zur Verfügung stehen, also einen Open 
Source-Ansatz, der die gesamte Wertschöpfungskette, d. h. neben Software 
auch die Hardwarekomponenten (insbesondere die Chips) und die dazu not¬ 
wendigen Entwicklungswerkzeuge umfasst, weil Soft- und Hardware von zu 
zertifizierenden Geräten i. d. R. aus vielen Subkomponenten bestehen, die 
sonst nur als „Black Box“-Ensemble zur Verfügung stehen (siehe https:// 
ieeexplore.ieee.org/document/8432033, 08/2018)? 

Es ist grundsätzlich denkbar, das dargestellte Vorgehen im Rahmen eines Zerti¬ 
fizierungsschemas umzusetzen. Nach der Konzeption des CSA ist dies eine Frage 
der Ausgestaltung des jeweiligen Zertifizierungsschemas. 
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14. Wie beurteilt die Bundesregierung die Notwendigkeit, zusätzlich zur geplan¬ 
ten freiwilligen One-Time-Pre-Market-Certification weitere Maßnahmen zu 
ergreifen, etwa auf Bundes- oder EU-Ebene ein Up-to-Date-Informations- 
system aufzubauen, in dem Daten zur Sicherheit von IoT-Produkten zwi¬ 
schen Unternehmen, Regulierern, dem Handel sowie Verbrauchern und Ver¬ 
braucherinnen ausgetauscht und ständig aktualisiert werden können (vgl. 
Jan-Peter Kleinhans, „Improving IoT security in the EU“, 08/2018)? 

Der CSA sieht für zertifizierte und selbstbewertete Produkte, Dienstleistungen 
und Prozesse einen elektronischen „Beipackzettel“ über Sicherheitsfunktionalitä¬ 
ten vor. Der Ansatz, zur Zertifizierung und Selbstbewertung korrespondierende 
Informationssysteme aufzubauen deckt sich mit der Konzeption der Bundesregie¬ 
rung zur Einführung eines IT-Sicherheitskennzeichens und wird daher unterstützt 
(vgl. Antwort zu Frage 11). 


15. Wie wird die Bundesregierung bei der Festsetzung der Zertifizierungsnor- 
men und der Praxis der freiwilligen Zertifizierungsverfahren sicherstellen, 
dass die Interessen und die Expertise neuer Marktteilnehmer, nationaler Auf¬ 
sichtsbehörden, Nichtregierungsorganisationen (NGO) etc. und die kollek¬ 
tiven Bedürfnisse (Gemeinwohl) hinreichend Berücksichtigung finden? 

Die Bundesregierung hat bereits im Rahmen der Verhandlungen zum CSA erheb¬ 
lichen Wert darauf gelegt, dass für die Ausarbeitung von Zertifizierungsschemata 
eine hinreichende und ausgewogene Beteiligung aller Interessensträger sicherge¬ 
stellt ist. Dies wurde im Sinne von „Checks and Balances“ durch die ver¬ 
pflichtende Beteiligung der Zertifizierungsstakeholdergruppe, von Ad hoc-Grup- 
pen und der Europäischen Cybersicherheits-Zertifizierungsgmppe bei der Ausar¬ 
beitung sowie z. T. bei der Verabschiedung der entsprechenden Rechtsakte zur 
Implementierung der Schemata sichergestellt. 


16. Wie will die Bundesregierung erreichen, dass beim Prozess der Festsetzung 
der Zertifizierungsnonnen Standards bzw. Zertifizierungsansprüche so offen 
gefasst werden, dass auch heute nicht absehbare Sicherheitsrisiken möglichst 
weit eingeschlossen werden, ohne damit zugleich Innovationen auszubrem¬ 
sen? 

Beim Setzen von Standards wird grundsätzlich zielorientiert vorgegangen. Das 
bedeutet auch, dass jede Regulierung dem Grundsatz genügt, an einem Ziel aus¬ 
gerichtet zu sein und dass dabei die Angemessenheit der gewählten Mittel reflek¬ 
tiert wird. Die zu erwartenden Folgen potentieller Zertifizierungsschemata wer¬ 
den auf Grundlage der langjährigen Erfahrung der für den Bereich der Standardi¬ 
sierung zuständigen Behörden in den Prozess eingebracht. 


17. Wie beurteilt die Bundesregierung die Notwendigkeit einer Klassifizierung 
von IoT-Geräten in Risikoklassen, und einer Setzung klassenspezifischer 
Mindestanforderungen an Sicherheit samt zugehöriger Interventionsmecha¬ 
nismen vergleichbar dem Ansatz bei Arzneimitteln und medizinischen Pro¬ 
dukten beim Bundesinstitut für Arzneimittel und Medizinprodukte samt In¬ 
terventionsmechanismus „Rote-Hand-Brief‘ auf Bundesebene bzw. durch 
die Medical Device Regulation samt Anlagen auf EU-Ebene? 

Es wird auf die Antwort zu den Fragen 1 und 2 verwiesen. 
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18. Welche Maßnahmen wird die Bundesregierung, beispielsweise im Zuge der 
Vorlage des von ihr seit langem angekündigten IT-Sicherheitsgesetzes 2.0. 
ergreifen, um negative ökonomische Anreize etwa im Bereich der Haftung 
zu setzen, um so maßgebliche Anreize für die Etablierung eines Security-by- 
Design-Ansatzes und für verpflichtende Sicherheitsupdates über den gesam¬ 
ten Produktlebenszyklus auf Herstellerseite zu bewirken? 

Es ist derzeit nicht beabsichtigt, im Zusammenhang mit dem IT-Sicherheitsge- 
setz 2.0 die Haftung zu regeln. 

19. Wie beurteilt die Bundesregierung die aktuelle Einigung zwischen EU-Kom- 
mission, EU-Rat und Europäischem Parlament hinsichtlich des Entwurfs zur 
EU-Warenhandels-Richtlinie, die eine Updateverpflichtung für Software 
verankert, die sich nicht automatisch an der Gewährleistungsfrist, sondern 
an der Verbrauchererwartung orientiert (vgl.: Trilogeinigung Warenhandels- 
Richtlinie, Interinstitutional Files: 2015/0287(COD), Artikel 5, Absatz 2a, 
https://data.consilium.europa.eu/doc/document/ST-5856-2019-INIT/en/pdf)? 

Nach dem Ergebnis des informellen Trilogs von Europäischem Parlament, Rat 
und Kommission soll die EU-Warenhandels-Richtlinie eine Updateverpflichtung 
für den Fall des Verkaufs von Waren mit digitalen Elementen enthalten. 

Der Verkäufer soll danach dafür sorgen, dass dem Verbraucher Updates, ein¬ 
schließlich Sicherheitsupdates, die für den Erhalt der Vertragsmäßigkeit der Wa¬ 
ren erforderlich sind, zur Verfügung gestellt werden. 

Wenn die digitalen Inhalte fortlaufend über einen Zeitraum bereitzustellen sind, 
besteht auch die Updateverpflichtung nach der Einigung im Trilog während die¬ 
ses Zeitraums. Andernfalls besteht die Updateverpflichtung während des Zeit¬ 
raums, den der Verbraucher aufgrund der Art und des Zwecks der Waren und der 
digitalen Elemente und unter Berücksichtigung der Umstände und der Art des 
Vertrags vernünftigerweise erwarten kann. 

Dieser Zeitraum der vernünftigen Verbrauchererwartung ist flexibel und wird für 
ein hochwertiges langlebiges Produkt (smart-car; Heizungsanlage) länger sein als 
beispielsweise für ein günstiges Produkt für den einmaligen Gebrauch. Mit die¬ 
sem Mechanismus ist die Updateverpflichtung zukunftssicher und technikneutral, 
da sie sich den jeweiligen tatsächlichen Gegebenheiten automatisch anpasst. Die 
Bundesregierung hat sich während der Beratungen im Rat für eine Updatever¬ 
pflichtung und für die beschriebene Ausgestaltung inkl. der Begrenzung auf sol¬ 
che Updates, die für den Erhalt der Vertragsmäßigkeit der Waren erforderlich 
sind, eingesetzt. 
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20. Wie beabsichtigt die Bundesregierung, den vorgesehenen nationalen Spiel¬ 
raum zu nutzen, um produktspezifische, konkrete Zeiträume für die erforder¬ 
liche Updateverpflichtung national festzulegen? 

Für welche Geräte sollte es nach Ansicht der Bundesregierung konkret fest¬ 
gelegte Zeiträume hinsichtlich der Updateverpflichtung geben, und wie lan¬ 
ge sollten diese jeweils sein? 

Welche politischen Gestaltungsmöglichkeiten sieht die Bundesregierung zur 
Schaffung und Etablierung eines Level Playing Fields für Entwicklung, Han¬ 
del und Einsatz von IoT-Geräten auf den verschiedenen rechtlichen Ebenen 
neben dem bereits oben angesprochenen Haftungsrecht, also etwa auf Ebene 
des EU-Wettbewerbsrechts? 

Entsprechende Regelungen entfalten nach Einschätzung der Bundesregierung 
Binnenmarktrelevanz im Sinne von möglichen Marktzugangsbeschränkungen 
und sind daher zwingend auf europäischer Ebene zu regeln. Es wird auf die Ant¬ 
wort zu den Fragen 1, 2, 7, 8, 9, 12 und 17 verwiesen. 


21. Welche Maßnahmen hält die Bundesregierung außerhalb der Werbewirk¬ 
samkeit eines Gütesiegels noch für zielführend, um ein Entwicklungs- und 
Marktumfeld zu schaffen, das die Etablierung eine Security-by-Design- 
Ansatzes und lange Produktunterstützungszeiten bei den Herstellern unter¬ 
stützt, etwa durch Schaffung und Unterstützung von Ecosystemen zwischen 
Herstellern, Handel, Verwaltung, Aufsichtsbehörden, Stiftungen und For¬ 
schung, die auf Security & Reliability von Hard- und Software insbesondere 
im Industrieeinsatz fokussiert sind? 

Die Wirksamkeit des IT-Sicherheitskennzeichens wird von der Bundesregierung 
nicht vornehmlich an dessen Werbewirksamkeit gemessen. Darüber hinaus ist der 
Ansatz Security-by-Design grundsätzlich von hoher Bedeutung für die Cybersi¬ 
cherheitspolitik der Bundesregierung und wurde entsprechend in der Cybersi¬ 
cherheitsstrategie der Bundesregierung von 2016 ausdrücklich verankert. Der 
Ansatz findet zum Beispiel bei der Erstellung von Richtlinien konkrete Anwen¬ 
dung. 


22. Wie schätzt die Bundesregierung die Bedeutung eines Europäischen Level 
Playing Fields für Entwicklung, Handel und Einsatz von IoT-Geräten für die 
Deutsche Wirtschaft und den viel beschworenen dritten, genuin europäi¬ 
schen Weg in die digitale Gesellschaft ein? 

Europa hat mit den Vorgaben zu Datenschutz und IT-Sicherheit und seiner Aus¬ 
richtung auf eine menschzentrierte Entwicklung künstlicher Intelligenz eigene, 
seinen Werten entsprechende Schwerpunkte für seine Digitalisierung gesetzt. 
Diese Ausrichtung stellt besondere Anforderungen an IoT-Geräte, die zu spezifi¬ 
schen Markteigenschaften von Produkten führt und damit eine Chance für deut¬ 
sche und europäische Entwickler und Anbieter eröffnet. Insoweit ist es im Sinne 
eines European Level Playing Field wichtig, dass sich auch globale Anbieter mit 
ihren Produkten im europäischen Markt an europäische Vorgaben halten müssen. 
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